De plugin WP Wallcreeper voor WordPress, tot en met versie 1.6.1, vertoont een kwetsbaarheid die ongeautoriseerde gegevensaanpassingen mogelijk maakt. Door een ontbrekende bevoegdheidscontrole kunnen ingelogde aanvallers met een abonneeniveau of hoger de caching in- en uitschakelen.
Dit betekent dat een aanvaller subtiele wijzigingen kan doorvoeren zonder dat de beheerder dit merkt, wat mogelijk kan leiden tot prestatieproblemen of onverwachte gedrag van de website. Het is belangrijk om dit probleem onmiddellijk aan te pakken.
Overzicht
Het probleem is ontstaan door een ontbrekende capaciteitscontrole binnen de admin_notices hook van WP Wallcreeper. Dit leidt tot een beveiligingsprobleem dat een impactscore heeft van 4.3 op de CVSS schaal, wat als ‘gemiddeld’ wordt geclassificeerd.
Aanbevelingen
- Upgrade de WP Wallcreeper plugin naar een versie hoger dan 1.6.1 zodra een patch beschikbaar is.
- Beperk de toegang tot gebruikers met slechts de noodzakelijke rechten, met name het abonneeniveau of hoger.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7822?
Dit is een kwetsbaarheid die betrekking heeft op het ontbreken van een controlemechanisme voor bevoegdheden binnen de WP Wallcreeper plugin.
Welke systemen zijn kwetsbaar voor CVE-2025-7822?
WordPress-installaties die WP Wallcreeper versie 1.6.1 of lager gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen patch vrijgegeven; houd de officiële bronnen in de gaten voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan caching inschakelen of uitschakelen, wat kan leiden tot prestatieproblemen of onvoorspelbaar gedrag van de website.
